Microsoft déploiera le support des passkeys pour l'authentification sans mot de passe résistante au phishing pour les ressources protégées par **Microsoft Entra** à partir des appareils Windows dès la fin avril. La fonctionnalité devrait être disponible en général d'ici mi-juin 2026 et étendra également la connexion sans mot de passe aux appareils Windows non gérés. Microsoft indique que les passkeys Entra sur Windows prendront en charge les appareils d'entreprise, personnels et partagés, avec des contrôles administratifs via les stratégies d'Accès conditionnel et de Méthodes d'authentification. « Les utilisateurs peuvent créer des passkeys liées à l'appareil, stockées dans le conteneur **Windows Hello**, et s'authentifier en utilisant les méthodes Windows Hello (visage, empreinte digitale ou code PIN) », a déclaré Microsoft [dans une mise à jour du centre de messages](https://admin.microsoft.com/#/MessageCenter/:/messages/MC1282568). « Cela étend le support de l'authentification sans mot de passe aux appareils Windows qui ne sont pas joints ou enregistrés à Microsoft Entra, aidant ainsi les organisations à renforcer la sécurité et à réduire la dépendance aux mots de passe dans les scénarios d'appareils gérés par l'entreprise, personnels et partagés. » La nouvelle fonctionnalité de sécurité sera disponible dans les organisations qui ont activé « Microsoft Entra ID avec passkeys » dans la « Stratégie des méthodes d'authentification » pour les utilisateurs qui se connectent à des appareils Windows qui ne sont pas joints ou enregistrés à Microsoft Entra, à condition que les stratégies d'Accès conditionnel le permettent (par exemple, à partir d'appareils gérés par l'entreprise, personnels ou partagés). Elle permet également la création de passkeys **FIDO2** stockées dans un conteneur d'informations d'identification local sécurisé qui ne peut être utilisé que pour l'authentification à Microsoft Entra ID via Windows Hello en utilisant la reconnaissance faciale, l'empreinte digitale ou un code PIN (contrairement à Windows Hello for Business, qui permet également les connexions à l'appareil). | Fonctionnalité | Passkey Microsoft Entra sur Windows | Windows Hello for Business | |---|---|---| | Base standard | FIDO2 | FIDO2 pour l'authentification, protocole propriétaire (1P) pour la connexion à l'appareil | | Enregistrement | Initié par l'utilisateur, ne nécessite pas la jointure ou l'enregistrement de l'appareil | Provisionné automatiquement sur certains appareils joints ou enregistrés à Microsoft Entra lors de l'enregistrement de l'appareil | | Connexion à l'appareil et authentification unique (SSO) | N/A | Permet la connexion à l'appareil et le SSO aux ressources intégrées à Microsoft Entra après la connexion à l'appareil | | Liaison des informations d'identification | Liée à l'appareil et stockée dans le conteneur local Windows Hello. Les utilisateurs peuvent enregistrer plusieurs passkeys pour plusieurs comptes professionnels ou scolaires sur le même appareil. | Principalement une méthode de connexion liée à l'appareil et à la confiance de l'appareil. L'information d'identification est liée uniquement au compte professionnel ou scolaire utilisé pour enregistrer l'appareil. | | Gestion | Stratégie des méthodes d'authentification Microsoft Entra ID | Microsoft Intune<br> Stratégie de groupe | De plus, les passkeys sont cryptographiquement liées à chaque appareil et ne sont jamais transmises sur le réseau, de sorte que les attaquants ne peuvent pas les voler lors d'attaques de phishing ou de malware pour contourner l'authentification multifacteur. Bien que Microsoft n'ait pas expliqué pourquoi cette fonctionnalité a été ajoutée, les passkeys Microsoft Entra sur Windows comblent une lacune de sécurité qui laissait auparavant les appareils personnels et partagés dépendants de l'authentification Microsoft Entra ID basée sur les mots de passe. Ces derniers mois, des acteurs de la menace ont [fortement ciblé](https://www.bleepingcomputer.com/news/security/hackers-target-microsoft-entra-accounts-in-device-code-vishing-attacks/) les comptes d'authentification unique (SSO) Microsoft Entra [en utilisant des identifiants volés](https://www.bleepingcomputer.com/news/security/shinyhunters-claim-to-be-behind-sso-account-data-theft-attacks/) dans une vague récente d'attaques de [vol de données SaaS](https://www.bleepingcomputer.com/news/security/mandiant-details-how-shinyhunters-abuse-sso-to-steal-cloud-data/). BleepingComputer a contacté Microsoft pour obtenir plus de détails, mais une réponse n'a pas été immédiatement disponible. En octobre 2024, Microsoft a annoncé qu'elle améliorerait également la sécurité des locataires Entra en [rendant l'enregistrement de l'authentification multifacteur (MFA) obligatoire](https://www.bleepingcomputer.com/news/microsoft/microsoft-entra-security-defaults-to-make-mfa-setup-mandatory/) lorsque les paramètres de sécurité par défaut sont activés, dans le cadre de l'initiative [Secure Future Initiative](https://www.microsoft.com/en-us/trust-center/security/secure-future-initiative) de l'entreprise, lancée en novembre 2023, pour renforcer la protection de la cybersécurité sur ses produits. De plus, Microsoft a annoncé en mai 2025 que tous les nouveaux comptes Microsoft [seront « sans mot de passe par défaut »](https://www.bleepingcomputer.com/news/microsoft/microsoft-makes-all-new-accounts-passwordless-by-default/) pour les protéger contre les attaques par force brute, le bourrage d'identifiants et le phishing.